Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Gestión de Riesgo Marzo 17 PDF
Gestión de Riesgo Marzo 17 PDF
ISO 31000:2009
12P01-V2
2
12P01-V2
PLANEACIÓN
ESTRATEGICA
Procesos
Gestión
Objetivos
dirección Riesgo
sociales
Objetivos
financieros
Procesos
Objetivos
cliente
operacionales
Objetivos
procesos
Objetivos Procesos
innovación soporte
12P01-V2
Gestión Prospectiva
•Proyección y ordenamiento a futuro
•Prevención
Gestión Correctiva
• Acciones de reducción de vulnerabilidades y amenazas
• Mitigación
Gestión Reactiva
• Planes de Contingencia
• Preparación
• Planes de continuidad del negocio
44
12P01-V2
NTC ISO 31000:2011
55
12P01-V2
1. Estructura General de la ISO 31000
12P01-V2
Introducción
1. Objeto
2. Términos y definiciones
3. Principios
4. Marco de Referencia
5. Proceso
Anexo A: Atributos de la Gestión Mejorada del
Riesgo
77
12P01-V2
2. Principios de la gestión del riesgo
12P01-V2
Principios de la gestión del riesgo
• Crea y protege el valor.
• Es una parte integral de todos los procesos de la organización.
• Es parte de la toma de decisiones.
• Aborda explícitamente la incertidumbre.
• Sistemática, estructurada y oportuna.
• Se basa en la mejor información disponible.
• Está adaptada a la organización.
• Toma en consideración los factores humanos y culturales.
• Transparente e inclusiva.
• Dinámica, reiterativa y receptiva al cambio.
• Facilita la mejora continua de la organización.
99
12P01-V2
3. Términos y definiciones
10
12P01-V2
Términos y definiciones
2.1. Riesgo: efecto de la incertidumbre
sobre los objetivos
Nota 1: Un efecto es una desviación de aquello que se espera, sea
positivo, negativo o ambos.
Nota 2: Los objetivos pueden tener aspectos diferentes (por ejemplo
financieros, salud y seguridad, y metas ambientales) y se pueden aplicar
en niveles diferentes (estratégico, en toda la organización, en proyectos,
productos y procesos).
Nota 3: A menudo el riesgo está caracterizado por la referencia a los
eventos potenciales y las consecuencias o a una combinación de ellos.
Nota 4: Con frecuencia, el riesgo se expresa en términos de una
combinación de las consecuencias de un evento (incluyendo los cambios
en las circunstancias) y en la posibilidad de que suceda.
Nota 5: Incertidumbre es el estado, incluso parcial, de deficiencia de
información relacionada con la comprensión o el conocimiento de un
evento, su consecuencia o posibilidad
11
12P01-V2
13
13
12P01-V2
Términos y definiciones
2.2 Gestión del riesgo. Actividades coordinadas para dirigir y
controlar una organización con respecto al riesgo
14
12P01-V2
a) Crear valor
15
15
12P01-V2
Términos y definiciones
2.3 Marco de referencia para la gestión del riesgo.
Conjunto de componentes que brindan las bases y las
disposiciones de la organización para diseñar,
implementar, monitorear, revisar y mejorar
continuamente la gestión del riesgo a través de toda la
organización.
• Nota 1: Las bases incluyen la política, los objetivos, el comando y el
compromiso para gestionar el riesgo.
• Nota 2: Las disposiciones de la organización incluyen planes,
relaciones, rendición de cuentas (Accountability), recursos, procesos y
actividades.
• Nota 3: El marco de referencia para la gestión del riesgo está incluido
en las políticas y prácticas estratégicas y operacionales globales de la
organización.
16
16
12P01-V2
Términos y definiciones (ISO 31000)
• Actitud hacia el Riesgo • Contexto
• Propietario del Riesgo interno/externo
• Parte interesada • Valoración del riesgo
• Proceso para la gestión • Identificación del
del riesgo Riesgo
• Plan para la gestión del • Fuente del riesgo
riesgo • Análisis del riesgo
• Evento • Criterios del riesgo
• Consecuencia • Nivel del riesgo
• Probabilidad • Evaluación del Riesgo
• Riesgo residual • Tratamiento del riesgo
17
17
12P01-V2
4. MARCO DE REFERENCIA PARA LA
GESTION DEL RIESGO
18
12P01-V2
Marco de Referencia
19
19
12P01-V2
Establecimiento del contexto
FORTALEZAS / DEBILIDADES
Misión / Visión
Objetivos
Percepción y estratégicos
Objetivos
ORGANIZACIÓN Políticas de
Partes comunicación
interesadas
Partes
interesadas
OPORTUNIDADES / AMENAZAS
20
20
12P01-V2
ESTRATEGIA DE NEGOCIOS
2) Análisis Interno
• Recuursos
• Capacidades
3) Matriz DOFA
5) Establecimiento de la estrategia
• Definición de ventajas competitivas.
• Identificación de Factores Claves de éxito.
• Determinación de objetivos y metas.
21
12P01-V2
3. MATRIZ DOFA
DEBILIDADES • Internas
OPORTUNIDADES • Externas
FORTALEZAS • Internas
AMENAZAS • Externas
22
12P01-V2
“La Empresa Social del Estado Hospital XXXXX, coherente con su
política de calidad, con los componentes y elementos que define el
MECI 1000:2005 y con los objetivos del Sistema Obligatorio de
Garantía de la Calidad para la Atención en Salud, busca proteger a
sus usuarios de los potenciales riesgos asociados a la prestación
del servicio, así mismo se compromete a establecer los
mecanismos necesarios para evitar, reducir, compartir y asumir los
riesgos relacionados con el desarrollo de sus procesos y que
pudieran afectar negativamente a las personas, las instalaciones,
los bienes y los equipos; para tal efecto realizará la identificación,
análisis, valoración e intervención de los riesgos inherentes al
quehacer institucional, contribuyendo de esta forma al logro de los
objetivos y a la Misión de la Empresa”.
23
23
12P01-V2
Proceso de gestión del riesgo
P H
A V
24
12P01-V2
Principales elementos del proceso de
COMUNICACIÓN Y CONSULTA gestión del riesgo
MONITOREO Y REVISION
Establecer el contexto
Tratar el riesgo
25
12P01-V2
Proceso de gestión del riesgo
Comunicación y
consulta
27
12P01-V2
Términos y definiciones
2.12. Comunicación y consulta: Procesos continuos y reiterativos
que una organización lleva a cabo para suministrar, compartir u
obtener información e involucrarse en un diálogo con las partes
involucradas con respecto a la gestión del riesgo
La consulta es :
• un proceso que tiene impacto en la decisión a través de la
influencia más que del poder; y
• una entrada para la toma de decisiones, no para la toma
conjunta de decisiones
28
12P01-V2
Términos y definiciones
Nota 1: La información se puede relacionar con la existencia, la
naturaleza, la forma, la probabilidad (likelihood), el significado, la
evaluación, la aceptabilidad y el tratamiento de la gestión del riesgo.
29
12P01-V2
Comunicación y consulta
La comunicación y consulta son importantes en el proceso de
gestión del riesgo por que:
30
12P01-V2
Comunicación y consulta
Proceso de comunicación
• Identificación de las partes interesadas
• Plan de comunicación y consulta
– Los objetivos de la comunicación
– Los participantes que deben estar incluidos
– Perspectivas de los participantes
– Los métodos de comunicación por usar
– El proceso de evaluación por usar
31
12P01-V2
Proceso de gestión del riesgo
Establecer el
contexto
32
12P01-V2
Términos y definiciones
2.9. Establecimiento del contexto: Definición de los parámetros
internos y externos que se han de tomar en consideración cuando
se gestiona el riesgo, y establecimiento del alcance y los criterios
del riesgo para la política para la gestión del riesgo
33
12P01-V2
Establecimiento del contexto
34
12P01-V2
Entender la Organización y su contexto
35
35
12P01-V2
Establecimiento del contexto
El contexto externo puede incluir, entre otros:
• Partes involucradas externas / partes interesadas
• Requisitos legales y reglamentarios
• El ambiente social y cultural, político,
CONTEXTO
EXTERNO
36
12P01-V2
Establecimiento del contexto
El contexto interno que puede incluir, entre otros:
• El gobierno, estructura de la organización, funciones y
responsabilidades;
• La cultura de la organización y sus procesos
• Las políticas, objetivos y las estrategias implementadas
CONTEXTO
INTERNO
para lograrlos;
• Los factores productivos
• Las relaciones con las partes involucradas internas y sus
percepciones y valores;
• Los sistemas de información, flujos de información y
procesos de toma de decisiones (tanto formales como
informales);
• Las normas, directrices y modelos adoptados por la
organización; y forma y extensión de las relaciones
contractuales.
37
12P01-V2
Proceso de gestión del riesgo
Identificación del
riesgo
38
38
12P01-V2
ESTE ES UN EVENTO DE
RIESGO MUY SIMPLE !!
QUE VEMOS ?
CUAL ES LA FUENTE ?
CUAL ES LA PROBABILIDAD?
CUAL ES LA CONSECUENCIA?
39
39
12P01-V2
Términos y definiciones
40
12P01-V2
Identificación del riesgo Recomendaciones!!!!
Es importante identificar los riesgos asociados a la
no búsqueda de una oportunidad.
La identificación debería incluir los riesgos
independientemente de si su origen está o no bajo
control de la organización, aún cuando el origen del
riesgo o su causa pueden no ser evidentes.
La identificación del riesgo debería incluir el examen
de los efectos colaterales de las consecuencias
particulares, incluyendo los efectos en cascada y
acumulativos.
También se debería considerar un rango amplio de
consecuencias incluso si el origen del riesgo o su
causa pueden no ser evidentes. Al igual que la
identificación de lo que podría suceder, es necesario
considerar las causas y los escenarios posibles que
muestran que las consecuencias se podrían presentar
41
12P01-V2
Identificación del riesgo: Componentes
• Aquello que tiene el potencial intrínseco para
Fuente hacer daño o generar oportunidades
42
42
12P01-V2
Fuente
•Infraestructura
•Talento Humano
•Tecnología
•Información
•Marco legal
•Recursos monetarios
43
43
12P01-V2
Fuente
• Estratégicos. Atienden la relación de la entidad con su misión
constitucional, los ciudadanos y la comunidad.
• Financieros. Atienden la relación de la entidad con el manejo del
presupuesto asignado.
• De proyectos. Atienden los riesgos relacionados con alcance, cronograma y
costos del proyecto.
• Operacionales. Son los típicos derivados de fallas de tecnología, procesos,
recursos humanos, fraude interno o externo, eventos de la naturaleza.
• De seguridad de la información. Relacionados con activos de información.
• Reputacionales. Derivados de otros riesgos o mediáticos.
• Corrupción: relacionados con el soborno, extorsión, lavado de activos,
• Legales. Derivados de otro riesgos o puros.
44
44
12P01-V2
45
45
12P01-V2
Evento / Incidente
46
46
12P01-V2
Consecuencia: Un resultado o
impacto sobre un grupo de partes involucradas
y recursos
47
47
12P01-V2
FUENTE O
OBJETIVOS METAS FACTOR EVENTOS CAUSA CONSECUENCIA
Disminuir el riesgo de
accidente o
enfermedades 0 Enfermedades
profesionales 0 Accidente Talento humano
Tecnología
Medio Ambiente
Capacitación
constante en salud
ocupacional
orientadas a la
prevención.
Conocimiento de los
riegos de cada
Método puestos de trabajo
Maquinaria
No se cuenta con los
elementos de
protección personal
Materiales requeridos
48
48
12P01-V2
Proceso de gestión del riesgo
Nota 1: El análisis del riesgo proporciona las bases para la evaluación del
riesgo y las decisiones sobre el tratamiento del riesgo
Nota 2: El análisis del riesgo incluye la estimación del riesgo
50
50
12P01-V2
Análisis del riesgo
51
51
12P01-V2
Análisis del riesgo
52
52
12P01-V2
Análisis del riesgo
A fin de evitar ser subjetivos, al analizar las consecuencias y la
probabilidad, se recomienda emplear los mejores recursos y
técnicas de información disponibles:
a) registros pasados;
b) experiencia pertinente;
c) práctica y experiencia industrial;
d) literatura publicada pertinente;
e) marketing de ensayo e investigación de mercado;
f) experimentos y prototipos;
g) modelos económicos, de ingeniería y otros;
h) juicios de especialistas y expertos (Modelos).
53
53
12P01-V2
Análisis del riesgo Recomendaciones!!!
• Que el estudio sea completo y no se pase nada por alto (causas y efectos).
55
55
12P01-V2
Análisis del riesgo: Consecuencia
Nivel Consecuencia Descripción
56
56
12P01-V2
Determinación de PROBABILIDAD (DAFP)
57
57
12P01-V2
Determinación de IMPACTO (DAFP)
58
58
12P01-V2
NIVEL DE REDUCCION SEGURIDAD Y MEDIO AMBIENTE HERENCIA SOCIAL COMUNIDAD, LEGAL
SEVERIDAD DE SALUD Y CULTURAL GOBIERNO,
UTILIDADES REPUTACION, MEDIOS
Muchas Enjuiciamientos y
> 500 muertes o multas
Muy alto millones efectos significativas
significativos
irreversibles Daño ambiental
>50 personas muy grave y a
largo plazo, de
Una sola las funciones del Problemas Protestas graves al Violación mayor
muerte y/o ecosistema sociales en curso. público o de los de los
Alto > 400 discapacidad Daño significativo medios (cobertura reglamentos.
millones severa a elementos de internacional) Litigios mayores
irreversible importancia
(>30%) a una cultural
ó más
personas
Discapacidad Efectos Atención significativa Violación grave
> 300 o daño ambientales adversa a los medios, de los
Medio millones irreversible graves a término público, ONG reglamentos, con
moderado medio investigación o
(<30%) a una informe a la
ó más autoridad, con
personas enjuiciamiento
y/o posibles
Discapacidad Efectos Problemas Atención de los hallazgos
> 200 objetiva pero moderados a sociales en curso. medios, preocupación moderados
Bajo millones reversible que corto plazo, que Daño permanente intensificada por la
requiere no afectan las a elementos de comunidad local.
hospitalizació funciones del importancia Críticas de las ONG
n ecosistema cultural
No se Efectos menores Impactos Atención médica o Aspectos legales,
requiere sobre el medio ambientales quejas adversas no
Muy bajo > 100 tratamiento ambiente sociales menores menores del público conformidades y
millones médico a mediano plazo, local violaciones
sobre la población menores
local. En su
mayoría es
59
59
subsanable
12P01-V2
Análisis del riesgo: Nivel de posibilidad
Posible El evento podría ocurrir una vez durante su Una vez cada diez años
carrera
Improbable El evento ocurre en algún lugar, de vez en Una vez cada treinta años
cuando
Raro Ha oído de que algo similar ocurre en otro Una vez cada 100 años
lado
Muy raro Nunca ha oído que esto ocurra Una vez cada 1000 años
Casi increíble Teóricamente posible, pero no se espera que Una vez cada 10000 años
ocurra
60
12P01-V2
Análisis del riesgo: Nivel de posibilidad
DESCRIPTIVO DEFINICION
Severa La mayoría de los objetivos no se pueden lograr
Mayor Algunos objetivos importantes no se pueden lograr
Moderada Algunos objetivos afectados
Menor Efectos menores que se remedian fácilmente
Insignificante Impacto insignificante sobre los objetivos
61
12P01-V2
Análisis del riesgo: Nivel de riesgo
62
12P01-V2
Análisis del riesgo: Nivel de riesgo
PROBABLE
PROBABILIDAD RIESGO MEDIO RIESGO ALTO
IMPROBABLE
MENOR MAYOR
CONSECUENCIA
63
12P01-V2
Análisis del riesgo: Nivel de riesgo
CONSECUENCIAS
64
12P01-V2
65
65
12P01-V2
66
66
12P01-V2
Proceso de gestión del riesgo
Evaluación del
riesgo
67
12P01-V2
Términos y definiciones
68
12P01-V2
Evaluación del riesgo
El propósito de la evaluación del riesgo es tomar decisiones,
basadas en los resultados del análisis del riesgo, sobre los riesgos
que necesitan tratamiento y las prioridades del tratamiento.
69
12P01-V2
Evaluación del riesgo
70
12P01-V2
Evaluación del riesgo
Prob. Consecuencias
1 2 3 4 5
A H H E E E
B M H H E E
C L M H E E
D L L M H E
E L L M H H
Nota: los criterios y categorías deben darle
capacidad de gestión del riesgo a la
organización.
E Riesgo extremo. M Riesgo moderado.
12P01-V2
72
72
12P01-V2
73
73
12P01-V2
74
74
12P01-V2
Proceso de gestión del riesgo
75
12P01-V2
Términos y definiciones
2.25. Tratamiento del riesgo. Proceso para modificar el
riesgo.
Nota 1: El tratamiento del riesgo puede implicar:
− evitar el riesgo decidiendo no iniciar o continuar la actividad que lo originó
− tomar o incrementar el riesgo con el fin de perseguir una oportunidad
− retirar la fuente del riesgo
− cambiar la probabilidad
− cambiar las consecuencias
− compartir el riesgo con una o varias de las partes (incluyendo los contratos y la financiación
del riesgo)
− retener el riesgo a través de la decisión informada.
Nota 2: En ocasiones se hace referencia a los tratamientos del riesgo relacionados con
consecuencias negativas como "mitigación del riesgo", "eliminación del riesgo", "prevención del
riesgo" y "reducción del riesgo".
Nota 3: El tratamiento del riesgo puede crear riesgos nuevos o modificar los existentes
76
12P01-V2
Tratamiento del riesgo
El tratamiento del riesgo involucra la selección de una o más
opciones para modificar los riesgos y la implementación de tales
opciones. Una vez implementado, el tratamiento suministra
controles o los modifica.
77
12P01-V2
Tratamiento del riesgo
Las opciones para el tratamiento del riesgo no necesariamente son
mutuamente excluyentes ni adecuadas en todas las
circunstancias.
Las opciones pueden incluir las siguientes:
• Evitar el riesgo al decidir no iniciar o continuar la actividad que lo
originó;
• Tomar o incrementar el riesgo para perseguir una oportunidad;
• Retirar la fuente de riesgo;
• Cambiar la probabilidad;
• Cambiar las consecuencias;
• Compartir el riesgo con una o varias de las partes, (incluyendo
los contratos y la financiación del riesgo); y
• Retener el riesgo mediante una decisión informada
78
12P01-V2
El tratamiento
SOLUCIONE
COSTO TIEMPO EFICACIA IMPACTO PUNTAJE
Posibles soluciones
SOLUCIÓN 1 3 1 2 3 18
SOLUCIÓN 2 2 2 2 2 16
SOLUCIÓN 3 3 3 2 3 54
3 = ALTO
2 = MEDIO
1 = BAJO
79
12P01-V2
Formato Mapa de Riesgos
80
80
12P01-V2
Proceso de gestión del riesgo
Monitoreo y revisión
81
12P01-V2
Tratamiento del riesgo
La información suministrada en los planes de tratamiento debería
incluir:
• La evaluación del costo / beneficio que se espera obtener
• Responsables de aprobar el plan
• Responsables de implementarlo
• Acciones propuestas
• Requisitos de recursos, incluyendo las contingencias;
• Medidas y restricciones de desempeño;
• Requisitos de monitoreo y reporte
• Tiempo y cronograma.
82
12P01-V2
Términos y definiciones
2.28 Monitoreo. Verificación, supervisión, observación crítica o
determinación continuas del estado con el fin de identificar
cambios con respecto al nivel de desempeño exigido o esperado.
Nota 1: El monitoreo se puede aplicar al marco de referencia para
la gestión del riesgo, al proceso para la gestión del riesgo, al riesgo
o al control.
83
12P01-V2
Monitoreo y revisión
El monitoreo y la revisión son parte esencial e integral de la
gestión del riesgo y son uno de los pasos más importantes del
proceso de la gestión del riesgo en el ámbito organizacional. Es
necesario monitorear la eficacia y la conveniencia de las
estrategias para implementar los tratamientos de riesgos y el plan
de gestión el mismo.
84
12P01-V2
Monitoreo y revisión
85
12P01-V2
Monitoreo y revisión
Considerar los riesgos más significativos en la organización y a
partir de estos definir indicadores asociados a las causas que los
generan.
86
12P01-V2
COMPORTAMIENTO AGOSTO 2011 - COMPARADO CON EL MISMO PERIODO
PARA LOS AÑOS 2007, 2008 , 2009, 2010 y 2011.
El factor de riesgo de tecnología presenta un crecimiento El factor de riesgo de Recurso Humano, presenta en el
del 8% en el año 2011 con respecto al 2010. Actualmente año 2011 un crecimiento del 200% respecto al año 2010.
se están elaborando planes de acción especialmente para La administración de operaciones desarrolló un estrategia
mitigar los riesgos relacionados con pagarés. En lo que de acercamiento al personal para informar de lo
respecta a reportes, existe un plan piloto. acontecido. En la reunión de metas del BSC con todo el
personal, el Presidente recordó la importancia de mejorar
en el desempeño de cada uno y en la necesidad de
Procesos capacitarse adecuadamente. A todos los jefes de área se
les ha recordado la necesidad de mejorar mediante
capacitación en los procesos.
2011 5
2010 4
El factor de riesgo de Procesos, presenta en el año 2011
un crecimiento del 25% respecto al año 2010. La áreas
2009 19 de Operaciones, Riesgos, Tecnología y Jurídica ya han
implementado planes de acción para mitigar este
riesgo.
2008 12
87
0 5 10 15 20 87
12P01-V2
PERFIL DE RIESGO A JUNIO 30 DE 2011
88
88
12P01-V2
PARTICIPACIÓN EN EL TOTAL DE RIESGOS
114
110
120
100
Áreas que aumentaron su participación en el número
80 de riesgos: Operaciones (4), riesgos (1), comercial (1),
62
61
60 financiera y administrativo (1) y auditoría (2).
40 2010 Operaciones representa el 42% de los riesgos de
26
26
24
23
13
12
12
12
12
12
20 2011 Deceval. Lo que quiere decir que todas las demás áreas
9
7
0 debemos contribuir a su administración.
Operaciones
Riesgos
Tecnología
Comercial
G. Humana
Jurídico
Auditoría
Fin. y Admin
CALIFICACIÓN INDIVIDUAL
Áreas que mejoraron:
4,70 •Financiera y Administrativa
4,60 •Gestión Humana
4,50
4,40
4,30 Áreas que desmejoraron:
4,20
2010 •Tecnología
4,10
4,00 2011 •Operaciones
3,90 •Riesgos
3,80
•Comercial
Auditoría
Operaciones
Jurídico
Comercial
Tecnología
Riesgos
G. Humana
Fin. y Admin
1 2 3 4 5
La Junta Directiva y Comités de Riesgo
la Gerencia Se reconoce
patrocinan la
a Nivel de la Junta
Ni Junta Directiva necesidad de Directiva y Alta
administración de administrar el riesgo
ni gerencia riesgo, pero no La Junta Directiva y Gerencia
enfatizan en toda la empresa
tienen mecanismos y se comienza un alta gerencia Administración y
administración del para ejecutarlas con
proceso de respaldan con la evaluación del
riesgo éxito. definición de una riesgo en toda la
sensibilización.
No existen Falta de enfoque y política de riesgos organización
lenguaje común para Existe una
metodologías administrar los identificación de Existe un Comité Lenguaje y enfoque
homologadas riesgo riesgos en todos los de Riesgo. comunes
para la procesos, pero no
Los riesgos son La responsabilidad Evaluación
administración de es sistémica y
manejados por cada
frecuente. en la adecuada del
riesgos área de manera administración de riesgo en todos los
intuitiva y Base de datos con riesgos depende de procesos del
No existen desintegrada. datos históricos, cada proceso negocio
mecanismos de La administración de pero sin integración
reportes formales para la toma de Tratamiento y
riesgos es
responsabilidad del decisiones Optimización del
área de auditoría riesgo
90
12P01-V2